CN108173639A

CN108173639A - 一种基于sm9签名算法的两方合作签名方法

Info

Publication number: CN108173639A
Application number: CN201810060113.9A
Authority: CN
Inventors: 穆永恒; 徐海霞; 李佩丽; 马添军; 付烁
Original assignee: Data Assurance and Communication Security Research Center of CAS
Current assignee: Data Assurance and Communication Security Research Center of CAS
Priority date: 2018-01-22
Filing date: 2018-01-22
Publication date: 2018-06-15
Anticipated expiration: 2038-01-22
Also published as: CN108173639B

Abstract

本发明公开了一种基于SM9签名算法的两方合作签名方法。本方法为：KGC将用户私钥ds_A的系数t₂进行乘法拆分，即t₂＝(a^‑1)·(at₂)；将a^‑1作为签名者A₁的私钥[at₂]P₁作为签名者A₂的私钥A₁将加密后的r₁发送给A₂，A₂对r₃(r₁r₂‑h)加密得到c₃，计算并将c₃和c₄发送给A₁，A₁通过解密得到s₁＝r₃(r₁r₂‑h)，但得不到r₂和r₃，A₁计算并验证(h,S)是否为合法签名，若是，则A₁和A₂合作签名成功；否则，中止签名。

Description

一种基于SM9签名算法的两方合作签名方法

技术领域

本发明属于信息安全技术领域，涉及一种门限签名(两方合作签名)的方法，具体为一种基于SM9签名算法的两方合作签名方法，能够保证协议执行的安全性和整体高效性。

背景技术

1.SM9数字签名算法

A.Shamir在1984年提出了标识密码(Identity-Based Cryptography)的概念，在标识密码***中，用户的私钥由密钥生成中心(KGC)根据主密钥和用户标识计算得出，用户的公钥由用户标识唯一确定，从而用户不需要通过第三方保证其公钥的真实性。与基于证书的公钥密码***相比，标识密码***中的密钥管理环节可以得到适当简化。

椭圆曲线对具有双线性的性质，它在椭圆曲线的循环子群与扩域的乘法循环子群之间建立了联系。1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用椭圆曲线对(pairing)构造基于标识的密钥共享方案；2001年，D.Boneh和M.Franklin，以及R.Sakai、K.Ohgishi和M.Kasahara等人独立提出了用椭圆曲线对构造标识公钥加密算法。这些工作引发了标识密码的新发展，我国于2016年发布了用椭圆曲线对实现的SM9标识密码算法，包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法等。

SM9数字签名算法中的***参数包括：椭圆曲线基域F_q的参数；椭圆曲线方程参数a和b；椭圆曲线阶的素因子N和相对于N的余因子cf；椭圆曲线E(F_q)相对于N的嵌入次数k；椭圆曲线(d₁整除k)的N阶循环子群G₁的生成元P₁；椭圆曲线(d₂整除k)的N阶循环子群G₂的生成元P₂；双线性对e的值域为N阶乘法循环群G_T。用ID_A表示用户A的身份标识，M表示待签消息，则用户A产生签名的过程如下：

●密钥生成阶段

1)KGC产生随机数ks∈[1,N-1]，作为签名主私钥；计算G₂中的元素P_pub-s＝[ks]P₂作为签名主公钥；

2)KGC选择并公开用一个字节标识的签名私钥生成函数识别符hid；

3)KGC在有限域F_N上计算t₁＝H₁(ID_A||hid,N)+ks，若t₁＝0，则重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则，计算然后计算ds_A＝[t₂]P₁，作为用户签名私钥。

●签名阶段

4)计算群G_T中的元素g＝e(P₁,P_pub-s)；

5)产生随机数r∈[1,N-1]；

6)计算群G_T中的元素ω＝g^r；

7)计算整数h＝H₂(M||ω,N)；

8)计算整数l＝(r-h)modN，若l＝0则返回5)；

9)计算群G₁中的元素S＝[l]ds_A；

10)消息M的签名为(h,S)。

注1：H_i(Z,n),i＝1,2，是SM9(GM/T 0044.2-2016)中给出的一个密码函数，输入为比特串Z和整数n，输出为一个整数h∈[1,N-1]。

注2：[u]P指加法群G₁、G₂中元素P的u倍。

2.两方合作签名

在网络环境中，需要存储、传递大量的信息，数字签名技术便是一种为保证信息传递的有效性、解决通信方之间的矛盾而产生的信息安全技术。两方合作签名是指，针对某一种签名算法，将其私钥拆分成两部分，分别由两个签名者秘密保管，每个签名者单独只能生成部分签名，必须通过交互才可以生成被原签名算法的公钥验证通过的完整签名。因此，两方合作签名是(t,n)-门限签名中t＝2，n＝2的一种特例。

门限签名作为门限密码学的重要研究内容，最早由Desmedt等人提出。之后基于RSA、ElGamal、Schnorr签名，DSA等的门限签名算法相继被提出。从签名的计算结构上来看，可以将签名分成两大类，一类是，随机数和私钥之间只存在加法运算。另一类是，计算过程涉及到随机数的求逆运算，以及随机数与私钥之间的乘积运算。如MacKenzie和Reiter在论文“Two-party generation of DSA Signatures”中给出的例子，分别选取Harn在论文“Group-oriented(t,n)threshold digital signature scheme and digitalmultisignature”中提出的算法(简称为Harn算法)和DSA算法作为这两类签名算法的代表进行说明。设签名算法的公共参数为＜g,p,q＞，公私钥对为＜y＝g^xmodp,x＞，随机数为k，待签名的消息为m。在Harn签名中，需计算s←x(hash(m))-krmodq，其中r＝g^kmodp，最终的签名为：(r,s)。在DSA签名中，需计算s←k^-1(hash(m)+xr)modq，其中，r＝g^kmodp，最终的签名为：(rmodq,s)。从目前国内外的研究情况来看，基于第一类签名算法的门限签名技术比较成熟，而基于第二类签名算法的门限签名设计比较困难。

对两方合作签名的研究，有两方面的原因，一是由于上述的困难性，即基于第二类签名算法的门限签名设计比较困难，因此先研究门限签名中t＝2，n＝2这种特例；二是，两方合作签名适用于移动网络环境下的私钥保护，通过服务器辅助存储一部分秘密信息，并和移动终端共同完成数字签名，可以极大减小移动终端被攻破所带来的风险，t＝n＝2的两方合作签名算法可以兼顾移动网络环境对可用性及私钥保密的要求。

Lindell在论文“Fast secure two-party ECDSA signing”中提出了可证安全且高效的基于ECDSA的两方合作签名。假设ECDSA签名中椭圆曲线点循环群的阶为q，G为其生成元，公私钥对为：(Q＝x·G,x)，则ECDSA签名过程如下：

1)选择随机数k←Z_q；

2)计算R＝k·G；

3)计算r＝r_xmodq，其中，R＝(r_x,r_y)；

4)计算s＝k^-1(hash(m)+rx)modq；

5)输出(r,s)。

可以看出，ECDSA的签名算法虽然在步骤2)中涉及到了椭圆曲线上的倍点运算，但其最终签名本质上还是对于数的运算，即在步骤4)计算签名时，用到的r为步骤3)中取的椭圆曲线上点的横坐标；而SM9签名算法在步骤9)计算最终签名时，用到的ds_A为椭圆曲线上的点，进行的是椭圆曲线上的倍点运算。对于像SM9这样，签名形式为上述第二类，且最终签名涉及到椭圆曲线上倍点运算的签名算法，因此目前已知方法中还没有对应的门限签名，甚至两方合作签名算法。本发明旨在给出基于SM9签名算法的两方合作签名方法。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种基于SM9签名算法的两方合作签名方法。本算法中，用户A的私钥ds_A被拆分成两部分，分别交由签名者A₁和A₂保管，A₁和A₂通过交互，可以代表用户A完成SM9签名。为了突出本发明的关键点，以及描述的简洁性，假设本算法中两个签名者都是半诚实的(本发明所述“半诚实”是指参与方诚实地执行协议，可以记录中间结果并推导有用的信息，但不能修改中间结果)。在恶意模型下，可以通过“承诺输入”、“认证计算”、“零知识证明”等手段迫使签名者按照协议要求执行，因为当其不按照协议要求执行时，将会被对方发现，从而对方可以提前中止协议。

假设待签名消息为M，一种安全高效的SM9两方合作签名算法，其步骤包括：

●密钥生成阶段

1)密钥生成中心KGC产生一随机数ks∈[1,N-1]，作为签名主私钥；计算G₂中的元素P_pub-s＝[ks]P₂作为签名主公钥；

3)KGC在有限域F_N上计算t₁＝H₁(ID_A||hid,N)+ks，若t₁＝0，则重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥(即用新生成的签名主私钥重新生成已有用户的签名私钥，并发送给他们)；否则，计算

4)KGC选择随机数a∈[1,N-1]，计算并将其发送给A₁，计算并将其发送给A₂。

●签名阶段

5)A₁和A₂分别计算群G_T中的元素g＝e(P₁,P_pub-s)；

6)A₁产生随机数r₁∈[1,N-1]，并计算群G_T中的元素

7)A₁选取一个公私钥对为(pk,sk)的加法同态加密算法，利用该加密算法对随机数r₁进行加密得到c₁，即计算c₁＝Enc_pk(r₁)，并将g₁和c₁发送给A₂；

8)A₂产生随机数r₂,r₃∈[1,N-1]，计算群G_T中的元素并将g₂发送给A₁；

9)A₁计算群G_T中的元素A₂计算群G_T中的元素

10)A₁和A₂分别计算整数h＝H₂(M||ω,N)；

11)A₂利用7)中A₁选取的加法同态加密算法，对整数h进行加密得到c₂，即计算c₂＝Enc_pk(h)；对r₃(r₁r₂-h)进行加密得到c₃，即c₃＝Enc_pk(r₃(r₁r₂-h))＝r₃(r₂c₁-c₂)。并且，计算将c₃和c₄发送给A₁；(注：这里的c₄并不是密文，而是为了保持符号的一致性)。

12)A₁利用7)中选取的加法同态加密算法的私钥sk对c₃进行解密得到：

s₁＝Dec_sk(c₃)＝Dec_skEnc_pk(r₃(r₁r₂-h))＝r₃(r₁r₂-h)，

然后计算

13)A₁用SM9验证算法验证(h,S)是否为合法签名，若是，则公布签名；否则，中止协议。

本发明中的两方合作签名算法，从协议的执行过程可以看出，结果是正确的；并且，用基于模拟的方法可以证明该算法是安全的(协议执行过程中***露双方的私密信息)。在实际应用中，密钥生成阶段只需要执行一次，之后两个签名者就可以根据签名阶段的协议对任何需要签名的消息进行签名。

与现有技术相比，本发明的积极效果为：

本发明针对签名形式为上述第二类，且最终签名涉及到椭圆曲线上倍点运算的签名算法，首次给出了两方合作签名方法。其创新点在于：

(1)密钥生成阶段的步骤4)，将用户A的私钥通过乘法拆分，分成两部分。拆分时的技巧为，对原算法中用户A私钥ds_A的系数t₂进行乘法拆分，即t₂＝(a^-1)·(at₂)；而保持椭圆曲线上的点P₁不变。并且将a^-1作为签名者A₁的私钥[at₂]P₁作为签名者A₂的私钥

(2)签名阶段的步骤7)和步骤11)，A₁将加密后的r₁，即c₁发送给A₂，A₂利用加法同态加密的性质，在不知道r₁的情况下，可以对r₃(r₁r₂-h)进行加密，并将加密后的结果c₂发送给A₁，A₁通过解密可以得到r₃(r₁r₂-h)，但是得不到r₂和r₃。也就是说，利用加法同态加密，在保护协议双方私密信息的同时，完成了必需的计算。

(3)签名阶段的步骤11)，通过计算利用椭圆曲线离散对数这一困难问题，保护了的私密性。

本发明给出的两方合作签名算法，与原SM9签名算法相比，在签名阶段多了一个加法同态加密方案的选取，三次加、解密运算和三次乘法运算。与Lindell的基于ECDSA的两方合作签名相比，每次签名只多了一次加密运算，但是，需要注意的是，SM9签名算法本身涉及的运算要比ECDSA复杂。

附图说明

图1是本发明的签名阶段实例示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明。

本发明的应用方式可以分为两大类。一类是用于权力分布，这时，用户标识指公司、团体或组织的标识。以公司、团体或组织名义发布的签名，需有两个签名者合作完成，即用户标识对应的用户私钥被拆分成两部分，分别由两个签名者持有，避免权力集中可能导致的腐败等问题。另一类是用于私钥保护，这时，用户标识就是指单个用户的标识，但其私钥被拆分成两部分，存储在不同的设备中，需两个设备同时在线才可以完成签名操作。下面以第一类应用方式为例进行说明。

在实际应用过程中，假设公司A的标识为ID_A，以该公司名义发布的签名需有两个签名者A₁和A₂共同完成，假设A₁和A₂已经拥有了各自的私钥和则签名过程如下：

1)A₁和A₂分别计算群G_T中的元素g＝e(P₁,P_pub-s)；

2)A₁产生随机数r₁∈[1,N-1]，并计算群G_T中的元素

3)A₁选取Paillier加密方案(N_PE,p_PE,q_PE)，公钥为pk＝N_PE，私钥为sk＝(p_PE,q_PE)，计算c₁＝Enc_pk(r₁)，并将g₁和c₁发送给A₂；

4)A₂产生随机数r₂,r₃∈[1,N-1]，计算群G_T中的元素并将g₂发送给A₁；

5)A₁计算群G_T中的元素A₂计算群G_T中的元素

6)A₁和A₂分别计算整数h＝H₂(M||ω,N)；

7)A₂计算c₂＝Enc_pk(h)，c₃＝Enc_pk(r₃(r₁r₂-h))＝r₃(r₂c₁-c₂)，并将c₃和c₄发送给A₁；

8)A₁对c₃进行解密得到s₁＝Dec_sk(c₃)＝Dec_skEnc_pk(r₃(r₁r₂-h))＝r₃(r₁r₂-h)，计算

9)A₁用SM9验证算法验证(h,S)是否为合法签名，若是，则公布签名；否则，中止协议。

该算法中，签名阶段比原SM9签名算法多了一个Paillier同态加密方案的选取，三次加解密运算和三次乘法运算。该算法与Lindell的基于ECDSA的两方合作签名相比，每次签名只多了一次加密运算，但是，因为SM9签名算法本身涉及的运算要比ECDSA复杂，因此，在只多一次加密运算，且该加密运算是可以快速实现的情况下，实现同等安全的两方合作签名，可以认为本发明中的算法与ECDSA两方合作签名是同等安全高效的。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种基于SM9签名算法的两方合作签名方法，其特征在于：

1)密钥生成阶段

密钥生成中心KGC生成签名主私钥ks和签名主公钥P_pub-s；然后选择并公开签名私钥生成函数识别符hid；

密钥生成中心KGC在有限域F_N上计算t₁＝H₁(ID_A||hid,N)+ks，其中，ID_A表示用户A的身份标识，N为SM9数字签名算法中椭圆曲线阶的素因子，H_i(Z,n)是SM9签名算法中给出的一个密码函数，i＝1或2，输入为比特串Z和整数n；

密钥生成中心KGC选择随机数a，计算并将其发送给签名者A₁，计算并将其发送给签名者A₂；P₁为N阶循环子群G₁的生成元，P₂为N阶循环子群G₂的生成元；

2)签名阶段

签名者A₁和签名者A₂分别计算群G_T中的元素g＝e(P₁,P_pub-s)；G_T为双线性对e的值域，为一N阶乘法循环群；

签名者A₁产生随机数r₁，并计算群G_T中的元素然后签名者A₁对r₁进行加密得到c₁，并将g₁和c₁发送给签名者A₂；

签名者A₂产生随机数r₂、r₃；计算群G_T中的元素并将g₂发送给签名者A₁；

签名者A₁计算群G_T中的元素签名者A₂计算群G_T中的元素签名者A₁和A₂分别计算整数h＝H₂(M||ω,N)；

签名者A₂对r₃(r₁r₂-h)进行加密得到c₃，计算并将c₃和c₄发送给A₁；

签名者A₁对c₃进行解密得到s₁＝r₃(r₁r₂-h)，计算

签名者A₁用SM9验证算法验证(h,S)是否为合法签名，若是，则签名者A₁和签名者A₂合作签名成功；否则，中止签名。

2.如权利要求1所述的方法，其特征在于，所述签名主私钥ks∈[1,N-1]，所述签名主公钥P_pub-s＝[ks]P₂。

3.如权利要求1所述的方法，其特征在于，P₁为椭圆曲线的N阶循环子群G₁的生成元，d₁整除k；P₂为椭圆曲线的N阶循环子群G₂的生成元，d₂整除k；k为椭圆曲线E(F_q)相对于N的嵌入次数。

4.如权利要求1所述的方法，其特征在于，密钥生成阶段，密钥生成中心KGC在有限域F_N上计算t₁＝H₁(ID_A||hid,N)+ks；若t₁＝0，则重新产生签名主私钥，计算和公开签名主公钥，并更新已有签名者的签名私钥；否则，计算

5.如权利要求1所述的方法，其特征在于，所述加密算法为公私钥对为(pk,sk)的加法同态加密算法。

6.如权利要求1或5所述的方法，其特征在于，所述加密算法为Paillier加密算法。

7.如权利要求1所述的方法，其特征在于，随机数r₁∈[1,N-1]，随机数r₂、r₃∈[1,N-1]，随机数a∈[1,N-1]。